雲端中的事故回應
Cloud Response 的設計目標
雖然事件回應的一般程序和機制,例如 NIST SP 800-61 Computer Security Incident Handling Guide
-
建立回應目標 - 與您的利害關係人、法律顧問和組織領導階層合作,訂定回應事件的目標。一些常見目標包括遏制和減輕問題、復原受影響的資源、保留鑑識資料,以及歸因。
-
使用雲端回應 - 在事件發生和資料之處實作回應模式。
-
了解您擁有和需求的是哪些 - 將日誌、快照和其他證據複製到集中的安全雲端帳戶加以保留。運用標籤、中繼資料和機制,強制執行保留政策。例如,您可以選擇使用 Linux
dd命令或相當的 Windows 命令,製作完整的資料複本,以用於調查。 -
使用重新部署機制 - 如果安全異常可能歸因於組態設定不當,修復的方法可能就是透過使用適當的組態,重新部署資源以移除變異那麼簡單。請盡可能讓您的回應機制安全地在不明狀態中執行多次。
-
盡可能自動化 - 當您發現問題或事件重複時,請建置機制,以程式設計方式分類並回應常見的情況。對於獨一無二、新和敏感的事件,請以人力回應。
-
選擇可擴展的解決方案 - 努力符合組織雲端運算方法的可擴展性,並縮短偵測和回應之間的時間。
-
了解並改善程序 – 當您找出程序、工具或人員中的缺口時,請實作計劃來修正這些缺口。模擬是找出缺口和改善流程的安全方法。
NIST 的設計目標是提醒您檢閱架構,以便能夠同時執行事件回應和威脅偵測。在規劃雲端實施時,請考慮回應事件或鑑識事件。在某些情況下,這表示您可能為這些回應任務專門設定了多個組織、帳戶和工具。這些工具和功能應透過部署管道來提供給事件回應人員,它們不應是靜態的,因為這會導致更大的風險。
